1. SSO zwischen Azure AD und Oracle Access Manager für Oracle E-Business Suite einrichten
  2. Einrichten von SSO zwischen Azure AD und Oracle Access Manager für Oracle E-Business Suite

Einrichten von SSO zwischen Azure AD und Oracle Access Manager für Oracle E-Business Suite

Es gibt bestimmte Annahmen und Details zu wichtigen Elementen, die Sie berücksichtigen müssen, bevor Sie die in dieser Lösung beschriebene Integration versuchen.

Neben den hier beschriebenen Voraussetzungen und Annahmen müssen Sie auch Benutzerattribute bereitstellen, einschließlich drei, die für diese Integration von entscheidender Bedeutung sind: Benutzerprinzipsname (UPN), USER_NAME und USER_ORCLGUID. Dieser Artikel enthält Details zu diesen Attributen und deren Verwendung.

Voraussetzungen und Annahmen verstehen

Die wichtigsten Voraussetzungen und Annahmen, die Sie treffen können, sind:

  • Alle im Abschnitt "Architektur" beschriebenen Komponenten wurden bereitgestellt und funktionieren.
  • Oracle E-Business Suite und Oracle Access Manager wurden integriert. Ist dies nicht der Fall, befolgen Sie das richtige Dokument aus der Masterliste in My Oracle Support: Using the Current Oracle E-Business Suite AccessGate for Single Sign-On Integration with Oracle Access Manager (Doc ID 2202932.1).
  • Ein Benutzeraccount wurde von Azure AD für den LDAP-Server von Oracle Access Manager bereitgestellt (siehe folgender Abschnitt). Provisioning-Implementierung liegt außerhalb des Geltungsbereichs dieses Dokuments, da es mehrere Implementierungsmöglichkeiten geben kann.
  • Ein Benutzer wurde vom Oracle Access Manager-LDAP-Server zur E-Business Suite-Datenbank mit Oracle Directory Integration Platform bereitgestellt. Dieser Prozess wird in einer der Integrationsleitfäden von Oracle E-Business Suite SSO mit Oracle Access Manager dokumentiert. Siehe auch folgender Abschnitt.
  • Alle High Availability-(HA-)Komponenten für Oracle E-Business Suite und Oracle Access Manager wurden bereits implementiert. HA kann erreicht werden, ist aber außerhalb des Geltungsbereichs dieses Dokuments.

Provisioning-Attribute für Oracle Access Manager- und E-Business Suite-Integration

Die richtige Zuweisung der eindeutigen Benutzerschlüssel, die zur Integration von Oracle Access Manager und E-Business Suite erforderlich sind, ist für die erfolgreiche Implementierung dieser Lösung von entscheidender Bedeutung.

Im Rahmen der Integration von E-Business Suite und Oracle Access Manager sind USERNAME und ORCLGUID kritische eindeutige Benutzerschlüssel, die zwischen dem LDAP-Server von Oracle Access Manager und der E-Business Suite-Datenbank verwendet werden. Beispiel: Der LDAP-Server von Oracle Access Manager, unabhängig davon, ob Oracle Unified Directory oder Oracle Internet Directory, verwendet in der Regel die UID des LDAP-Attributs für den Benutzernamen. Wenn jedoch ein Benutzereintrag erstellt wird, wird das betriebliche Attribut orclguid automatisch erstellt und speichert einen eindeutigen 32-Zeichen-Wert. Ebenso wird in E-Business Suite ein Benutzername in USER_NAME und ein orclGUID in USER_GUID gespeichert. Beide Attribute müssen eindeutig sein.

Im Authentifizierungsablauf übergibt WebGate drei Header: USER_NAME, USER_ORCLGUID und OAM_LOCALE. Die beiden wichtigsten Authentifizierungsschritte mit E-Business Suite sind USER_NAME und USER_ORCLGUID, die vom LDAP-Server von Oracle Access Manager abgerufen werden. Die Attributwerte müssen zwischen dem LDAP-Server von Oracle Access Manager und dem Benutzerschema der E-Business Suite-Datenbank übereinstimmen.

Beim Provisioning aus Azure AD können Sie samAccountName als uid im LDAP-Server von Oracle Access Manager verwenden. Es ist wichtiger, dass samAccountName auch eindeutig ist, da im Rahmen der Integration von Oracle Access Manager und E-Business Suite ein Eindeutigkeits-Plug-in aktiviert ist, um sicherzustellen, dass UID eindeutig ist. Das Attribut uid ist bei der Föderationsauthentifizierung nicht wichtig. Es ist jedoch wichtig, sicherzustellen, dass der Wert im LDAP-Server von Oracle Access Manager und in der E-Business Suite-Datenbank eindeutig ist.

Provisioning-Attribute für Azure AD- und Oracle Access Manager-Integration

Die richtige Zuweisung der eindeutigen Benutzerschlüssel, die zur Integration von Azure AD und Oracle Access Manager erforderlich sind, ist für die erfolgreiche Implementierung dieser Lösung von entscheidender Bedeutung.

Nach den Best Practices von Azure AD wird der Benutzer-Principal-Name (UPN) als Attributwert für die föderierte Benutzerzuordnung verwendet. Die UPN bietet einen eindeutigen Wert, der für die Anmeldung beim Benutzeraccount und den Abgleich in Oracle Access Manager und E-Business Suite zuverlässig ist. Daher ist es die beste Wahl für die Föderation zwischen Azure AD und Oracle Access Manager.

In der folgenden Tabelle sind die minimalen Attribute aufgeführt, die für das Provisioning von Azure AD auf den LDAP-Server von Oracle Access Manager empfohlen werden.
Azure-Attribut LDAP-Attribut Beispiel
userPrincipalName mail test.user1@mydomain.com
samAccountName uid test.user1@mydomain.com
displayName cn User1
givenName givenName Testen
sn sn User1